勒索病毒與時俱進玩出新花樣,黑色產業鏈恐更難斬斷
文/東方亦落
近日,網際網路中有許多人表示遭到了新型勒索病毒的攻擊。該病毒鎖死受害者檔案並通過微信二維碼的方式勒索贖金。這種勒索方式就和去年流行的WannaCry“蠕蟲”病毒一樣,只不過它不收取比特幣,而是用微信掃碼之後支付110元贖金方可獲得金鑰。此外,該病毒還會竊取使用者的淘寶、天貓、支付寶、QQ等賬號密碼。
目前,微信已經對勒索者的賬戶進行封禁,對收款二維碼也予以緊急凍結,支付寶也表示“已第一時間跟進,目前沒有一例支付寶賬戶受到影響”。雖然此次病毒未造成大規模的網際網路安全威脅,但勒索病毒的出現卻已經有一些年頭了,到了今天還是會時不時就出現在網際網路中。而且此次的勒索病毒的介面資訊都是中文,還使用不匿名的微信收取贖金,足可見其猖獗程度。
勒索病毒最初如何崛起?有哪些比較出名的事件?在這麼多年的發展和傳播過程中,勒索病毒屢禁不止的“祕訣”是什麼?在未來它又會演變出哪些“新花樣”?我們又能否拿出行之有效的辦法加以應對呢?
一、出現不過十餘年,勒索病毒卻已讓全球“刮目相看”
勒索病毒的起源大概可以追溯到2007年。一個叫李俊的不起眼的小夥子製作出了讓數百萬使用者“恐懼”的電腦病毒“熊貓燒香”。
李俊和他同夥的初衷就只是為了“炫技”和順便掙些錢,然而當時該病毒在網際網路界引起了極大的恐慌,給不少個人使用者、企業甚至政府機構都造成了重大的損失。這種迅速蔓延的情況已經超出了李俊的預期,後來他提供了針對“熊貓燒香”的防毒軟體,這場風波才能夠收場。
隨著網際網路技術的發展,勒索病毒也隨之發展。2014年,一款名為“Koler”的勒索病毒席捲安卓平臺。它主要利用簡訊傳播病毒,受害者會接到一條內容為“有人以你的名字命名了一個檔案還下載了你的圖片”的簡訊,後面還附上了連結,一旦點開連結,就會進入安裝APP的頁面,一旦下載了APP,手機介面上就會出現要求支付贖金的頁面,金額為300美元。Koler的影響範圍也不小,對至少30個國家的使用者傳送了定位勒索簡訊。
此後,以Koler為首的勒索病毒就在安卓平臺中大規模爆發,也意味著勒索病毒從PC端蔓延到移動端,勒索病毒從此開始“雙管齊下”,並且範圍也開始蔓延至全世界。
2017年,人們幾乎忘記了被“熊貓燒香”支配的恐懼,然而危害數倍於“熊貓燒香”的WannaCry在去年5月份讓全球網民感受到了深深的驚恐。在WannaCry出現的5月12日當天,全球就有99個國家的7.5萬臺電腦被感染,其中包括中國、美國、英國、俄羅斯、義大利等國家,有242.3萬個IP地址遭受該病毒攻擊,將近3.5萬個IP地址被WannaCry感染。
而中國受到影響的包括醫院、高校、企事業單位在內的1.8萬個左右的IP,網路大面積癱瘓。到了14日,WannaCry已經衍生出了感染速度更快、病毒危害更強的變種“WannaCry 2.0”,並且在移動端也發現了WannaCry的痕跡。
WannaCry與以往的勒索病毒的傳播速度與路徑都有顯著的差異,而這一切都要歸咎於一款名為“永恆之藍”的惡意程式碼。該程式碼會自動掃描使用者Windows系統下的特定漏洞,通過開放的445檔案共享埠釋放加密程式。這意味著勒索病毒的“段位”越來越高,病毒製造者們的方法也是“與時俱進”。
可以看到,勒索病毒出現至今也只不過十餘年的時間,其影響卻已經波及全球,讓全世界的網民們“刮目相看”並且留下了深深的陰影。說到勒索病毒的“與時俱進”,其實不僅表現在病毒本身,還表現在其感染方式、勒索方式、攻擊物件、攻擊手段等各個方面。
二、偽裝、誘導,勒索病毒“與時俱進”玩出新花樣
儘管各類勒索病毒在實際中的表現形態有很大差異,但傳播形式卻絕非無跡可尋,主要都是通過偽裝、誘導等手段附在各種應用程式當中。有的會偽裝成遊戲、外掛、社交軟體等,一旦使用者執行這些偽裝的程式,終端就會被病毒侵染,無法操作。另外一些病毒則會包含在資原始檔中,悄悄地在系統後臺執行,並偽裝成系統應用。
勒索病毒大都表現得十分“強硬”,對系統進行強烈破壞並強制被攻擊者付費,在贖金繳納形式方面也是多種多樣。PC端最為常見的就是比特幣,到了移動端更是“花樣”繁多,微信支付、QQ支付、支付寶支付等。雖然金額比PC端要低,然而存在重複勒索甚至是如同遊戲闖關一般的收費模式,例如被攻擊者在使用QQ支付的過程中要繳納入群費、學徒費、解鎖費等等。
從勒索病毒喜歡攻擊的應用種類來看,可以將其分為遊戲類、社交類、免流外掛類4種。其中社交類軟體是勒索病毒的“最愛”,全網勒索病毒中有28143個是衝著社交應用去的,佔總數的一半多。之後是免流外掛類軟體,共9732個。而近年來火爆的遊戲應用也是勒索病毒的高發區,共6754個,位列第三。例如刷鑽助手、王者榮耀輔助等與遊戲有關的偽裝成惡意應用的外掛,去年也有不少“吃雞”玩家受到“強制玩遊戲”的Magniber勒索病毒攻擊。
在勒索病毒猖獗的過程中,被攻擊的物件一般都是非專業技術人員。比起自行破解或報案,這些被攻擊者更願意“破財免災”,主動繳費以解除病毒的威脅。所以對於病毒的製造者而言,這方面的收益並不會因為技術的創新和防禦手段的提升而縮減,反而會憑藉使用者的依賴心理更加肆虐,這種情況在移動端表現得尤為明顯。
此外,攻擊者會將惡意程式披上與使用者利益掛鉤的“外衣”,利用人性固有的弱點來達到自己的目的。比如在社交軟體中偽裝成“紅包”,並且加上“外掛”、“秒搶”這樣誘惑性極強的字眼。還有就是利用人類的好奇心,加上“不要點我”之類的字眼。使用者在這些偽裝下往往禁不住誘騙,最終“中招”。
可以看到,勒索病毒“花樣”百出而且頗具“特色”,讓人防不勝防。另外,隨著時代的發展,勒索病毒在許多方面的“靈感”也“與時俱進”。
三、勒索病毒形成黑色產業鏈,“防毒”之路任重道遠
隨著技術的進步,勒索病毒的製造門檻也逐漸降低。從WannaCry出現之後,勒索病毒開始被越來越多的人所熟知,而許多使用者主動繳納贖金的行為也使得更多的黑客想從中得利,就利用Python、PHP等語言編寫了勒索病毒,甚至採用更為簡單的AutoIt語言編寫了勒索病毒。AutoIt易學易用,功能強大且無需特定執行環境,所以即使毫無程式設計經驗的新手也能迅速運用。
由於勒索病毒在技術層面的“准入門檻”大大降低,越來越多的90後、00後的網路技術愛好者在利益的誘惑下成為開發勒索病毒的“菜鳥黑客”。他們年齡小,缺乏法律意識,而且對網際網路攻擊抱有更高的熱情,他們的攻擊範圍逐漸擴大,技術能力也在不斷提升,清理和監管都較為困難,因此近來有成為勒索病毒攻擊的“主力”之勢。
在WannaCry出現之後,勒索病毒反而不再像WannaCry那樣“粗暴”,而是可以“議價”,在WannaCry事件出現之時,黑客會開出3個比特幣的高額贖金,如今一般都會在0.8個比特幣(500美金)左右。
經過幾年的發展,勒索病毒的製造已經不再是單打獨鬥,而是形成了“產業鏈”。這種黑色產業鏈中的團隊會提供大量的使用者資料及攻擊技術,並形成一套完整的攻擊方案,惡意程式、鎖屏工具的製作方面都有視訊教程以及原始碼出售。由此縮短病毒的開發週期,降低病毒製造成本提升收益,使運作流程規模化。
病毒製造方面“與時俱進”,贖金勒索方面也“緊跟步伐”。
可以看到比特幣這一新式貨幣在勒索環節十分重要。早在2013年,以比特幣解除勒索病毒的形式就已興起。當時勒索病毒cryptolocker的製造者加密了所有帶有文件字尾名的檔案,要求被勒索者繳納300美元或兩個比特幣。由於比特幣的加密性質,使得警方的追查過程難度增加。
同年比特幣價格一路走高,到2013年11月之後逐步回落。但在2014年7月有傳聞稱一款名為Critroni的勒索軟體正在地下黑客論壇以3000美元的價格出售,該軟體會加密PC端檔案,要求被勒索者支付比特幣。
2015年,比特幣價格繼續走低,但勒索病毒卻井噴式爆發。勒索病毒靠郵件等方式傳播,尚不足以波及全球。2016年,比特幣價格開始爬升,此後WannaCry這樣在全球範圍肆虐的病毒出現。可見比特幣雖然給人們帶來了許多好處,但也讓黑客的勒索變得更加容易和隱蔽。
隨著網際網路的蓬勃發展,網際網路中的業務愈發多樣,系統愈發複雜,所以勒索病毒的“可乘之機”也就大幅增加。與時俱進是好事,但勒索病毒“與時俱進”卻不然,隨著黑色產業鏈的形成以及越來越多的花樣,勒索病毒只會變得更加不好對付。雖然有不斷升級的防毒軟體,還有相關部門的監管,但想要消滅勒索病毒仍然任重而道遠。